Blog Single

    Authenticatiesleutel > Passwordless > Hardware-bound passkeys
    10 mrt

    Hardware-bound passkeys

    Hardware-bound passkeys worden belangrijker in Microsoft Entra

    Microsoft zet sterk in op passwordless authenticatie. Passkeys spelen daarin een centrale rol. Toch is er een belangrijk verschil dat vaak over het hoofd wordt gezien: het verschil tussen gesynchroniseerde passkeys en hardware-bound passkeys.

    Met de recente ontwikkelingen in Microsoft Entra wordt dat onderscheid steeds relevanter voor organisaties die hun beveiliging serieus nemen.

    Wat zijn hardware-bound passkeys?

    Hardware-bound passkeys zijn passkeys die gebonden zijn aan een fysiek apparaat, zoals een FIDO2 security key van Yubico.

    Het belangrijkste kenmerk:
    de private key verlaat het apparaat nooit.

    Dat betekent dat de sleutel:

    • niet kan worden gekopieerd
    • niet kan worden gesynchroniseerd naar andere apparaten
    • niet in een cloud-account wordt opgeslagen

    Authenticatie gebeurt dus altijd via het fysieke device waarop de passkey is aangemaakt.

    Voordelen van hardware-bound authenticatie

    Hardware-bound passkeys bieden een aantal belangrijke securityvoordelen:

    1. Sterke phishing-resistentie
    Omdat FIDO2 authenticatie aan het domein gebonden is, kunnen credentials niet worden misbruikt op phishing-sites.

    2. Geen exporteerbare private keys
    De cryptografische sleutel blijft altijd veilig opgeslagen op de security key.

    3. Geen afhankelijkheid van cloud-sync
    De authenticatie blijft onafhankelijk van password managers of platform-ecosystemen.

    Voor organisaties met hogere security-eisen is dit een belangrijke eigenschap.

    Synced passkeys: gebruiksvriendelijk maar minder strikt

    Naast hardware-bound passkeys bestaan er ook gesynchroniseerde passkeys.

    Deze passkeys worden opgeslagen in bijvoorbeeld:

    • Apple iCloud Keychain
    • Google Password Manager
    • Microsoft ecosystemen
    • externe password managers

    Het voordeel is gebruiksgemak: passkeys zijn automatisch beschikbaar op meerdere apparaten.

    Het nadeel is dat de private key in sommige gevallen niet meer strikt gebonden is aan één hardware device. Daardoor verschuift een deel van de security naar het platform dat de synchronisatie beheert.

    Voor veel reguliere gebruikersscenario’s is dat prima. Maar voor kritieke accounts kan een hardware-bound model zoals een YubiKey nog steeds de voorkeur hebben.

    Microsoft Entra introduceert passkey-profielen

    Microsoft introduceert in Microsoft Entra ID een nieuwe manier om passkeys te beheren: Passkey Profiles.

    Deze worden vanaf maart 2026 automatisch geactiveerd in tenants.

    Met deze nieuwe configuratie krijgen beheerders meer controle over het type passkeys dat gebruikers mogen registreren.

    Een belangrijke nieuwe instelling is de passkeyType-eigenschap, waarmee je kunt bepalen of gebruikers mogen werken met:

    • device-bound passkeys
    • gesynchroniseerde passkeys
    • of beide varianten

    Daarnaast kunnen deze instellingen per gebruikersgroep worden toegepast in plaats van tenant-breed.

    Dat maakt het mogelijk om passkey-beleid veel gerichter in te richten.

    Conditional Access en passkeys

    De veranderingen in Microsoft Entra worden gefaseerd uitgerold tussen maart en juni 2026. Je ziet de stappen ook in de schematische weergave in de afbeelding van dit artikel.

    Bestaande FIDO2-instellingen worden daarbij automatisch gemigreerd naar een standaard passkey-profiel als organisaties zelf geen configuratie kiezen.

    In combinatie met Conditional Access ontstaan daardoor nieuwe mogelijkheden, zoals:

    • hardware-bound passkeys verplicht stellen voor specifieke accounts
    • verschillende passkey-types toestaan voor verschillende gebruikersgroepen
    • passkeys afdwingen als phishing-resistente authenticatie

    Dit maakt het eenvoudiger om security-beleid te differentiëren binnen één organisatie.

    Waarom hardware-bound passkeys belangrijk blijven

    Voor veel organisaties zijn gesynchroniseerde passkeys een goede stap richting passwordless werken. Ze verbeteren gebruiksgemak en verlagen de drempel voor adoptie.

    Maar voor kritieke accounts blijft hardware-bound authenticatie de sterkste optie.

    Denk bijvoorbeeld aan:

    • privileged accounts
    • Global Administrators
    • toegang tot kritieke systemen
    • beheeromgevingen en infrastructuur
    • productie- en OT-systemen

    In deze scenario’s wil je voorkomen dat authenticatiemiddelen buiten een gecontroleerde hardwareomgeving kunnen worden gebruikt.

    Een FIDO2 security key met hardware-bound passkey blijft daarom een van de meest robuuste vormen van phishing-resistente authenticatie. De YubiKey van Yubico is daar een goed voorbeeld van.

    De richting is dus duidelijk: passwordless

    Microsoft stuurt duidelijk richting een toekomst zonder wachtwoorden.

    Passkeys worden steeds breder ondersteund in:

    • Microsoft Entra
    • Windows
    • browsers
    • mobiele apparaten

     

    Maar terwijl passwordless de standaard wordt, blijft één vraag cruciaal om goed over na te denken: welk type passkey wil je toestaan? En voor organisaties met hogere security eisen is het antwoord vaak duidelijk: hardware-bound passkeys op FIDO2 security keys. Zoals de YubiKey!

     

    Bron: Entra.News

    Related Posts

    toekomst is wachtwoordloos

    De toekomst is wachtwoordloos

    De toekomst is wachtwoordloos – ben...

    andere manier van inloggen

    Als je een hekel hebt aan wachtwoorden, stap dan nu over op deze andere manier van inloggen.

    Wachtwoorden zijn vervelend. Je zou ze...

    Passkey aanpak

    Wat is de juiste Passkey implementatie?

    Phishing bedreigingen evolueren voortdurend. Door de...

    Passkeys

    Nieuwe FIDO Alliance-ontwerprichtlijnen: belangrijke inzichten voor...

    Klaar voor Passwordless?

    Klaar om Passwordless te gaan met...